REPOSITORIO BIBLIOGRÁFICO

Security testing techniques and tools

Mostrar el registro sencillo del ítem

dc.contributor.advisor Solano Romo, Lizeth Itziguery es_MX
dc.contributor.advisor Díaz, Edgar Oswaldo es_MX
dc.contributor.advisor Andrade, Jose Manuel es_MX
dc.contributor.advisor Macías Luévano, Jorge Eduardo es_MX
dc.contributor.author González Peña, Alan Tonatiuh es_MX
dc.date.accessioned 2018-07-30T18:48:24Z
dc.date.available 2018-07-30T18:48:24Z
dc.date.issued 2018-05
dc.identifier.other 428953
dc.identifier.uri http://hdl.handle.net/11317/1517
dc.description Tesis (maestría en informática y tecnologías computacionales)--Universidad Autónoma de Aguascalientes. Centro de Ciencias Básicas. Departamento de Sistemas de Información es_MX
dc.description.abstract En este trabajo practico se hará una evaluación en materia de seguridad en un organismo gubernamental con proyectos e información real sobre las amenazas o vulnerabilidades que se puedan presentar, en un ambiente controlado, para esto, en primera parte se usará el marco de trabajo creado por OWASP, denominado SAMM para evaluar la organización y tener información sobre donde se encuentra actualmente en temas de seguridad, debido a la gran extensión del mismo, nos enfocaremos en el apartado de “Verificación” que incluye tres sub módulos, “Revisión del Diseño, Revisión de la Implementación y Pruebas de Seguridad”. Después del análisis teórico, pasaremos a la práctica buscando amenazas o vulnerabilidades para las aplicaciones con tecnología Web 2.0 tomando en cuenta el proyecto de OWASP Top 10 y obteniendo del mismo, tres que consideramos son las más críticas, con mayor cantidad de ataques y que pueden llegar a tener gran impacto en la organización, estas vulnerabilidades que se revisarán más a fondo son, A1 Inyección (SQL Injection), A3 Secuencia de Comandos en Sitios Cruzados (Cross-Site Scripting o XSS) y A10 APIs no Protegidas (Underprotected APIs) (OWASP, 2017a). Tomando en cuenta la información que presenta OWASP se montó un laboratorio de pruebas de seguridad en el Instituto Nacional de Estadística y Geografía (INEGI) donde se analizaron aplicaciones con tecnología Web 2.0 del año 2015 y 2016 construidas usando tecnología Oracle Java y Microsoft .Net para su análisis a fondo y confirmación usando una herramienta de código abierto del mismo organismo OWASP, esta herramienta llamada Zed Attack Proxy por sus siglas en inglés “ZAP”, ayuda a correr un escaneo completo de la aplicación con tecnología Web 2.0, detectar vulnerabilidades y simular como si fuera el atacante real, al final se genera un reporte que puede ser utilizado para corregir estas vulnerabilidades. es_MX
dc.description.abstract This thesis presents an assessment for security in an existing government organization with real projects and real information about threats and/or vulnerabilities that may present in a controlled test environment, for this, we will use OWASP’s SAMM Framework to evaluate the organization and gather information on where the organization stands in security matter, due the large extension of the framework, we will focus on the “Verification” module that is sub divided into three smaller modules, “Design Review, Implementation Review and Security Testing”. After the theoretical analysis, we will put it to practice searching for threats or vulnerabilities for Applications with Web 2.0 Technology using OWASP Top 10 project and getting from it, three vulnerabilities that we consider are the most critical, most attacks and/or more destructive or impact to the organization, these vulnerabilities that we will be thoroughly reviewed are, A1 Injection, A3 Cross-Site Scripting or XSS and A10 Under protected APIs (OWASP, 2017a). Taking into consideration the information presented by OWASP, a test laboratory was built in INEGI where we analyzed their Applications with Web 2.0 Technology from past years 2015 and 2016 built using either Oracle Java or Microsoft .Net Technologies, this laboratory was set to further analyze and try to confirm the vulnerabilities found using OWASP open source tool called Zed Attack Proxy or “ZAP”, this tool helped us run a full scan in all Applications with Web 2.0 Technology, detect vulnerabilities and simulate as if we were a real life attacker, at the end a report is generated that may be used later on to correct these vulnerabilities. es_MX
dc.language es es_MX
dc.publisher Universidad Autónoma de Aguascalientes es_MX
dc.subject Seguridad en computadoras es_MX
dc.subject Computadoras - Control de acceso es_MX
dc.subject Protección de datos es_MX
dc.title Security testing techniques and tools es_MX
dc.title.alternative a study for web based applications es_MX
dc.type Tesis es_MX


Ficheros en el ítem

Este ítem aparece en la(s) siguiente(s) colección(ones)

Mostrar el registro sencillo del ítem

Buscar en el Repositorio


Búsqueda avanzada

Listar

Mi cuenta